示例:在指定的桥接域上配置 IP 源保护和动态 ARP 检查以保护设备免受攻击
此示例介绍如何在指定的桥接域上启用 IP 源保护和动态 ARP 检查 (DAI),以保护设备免受欺骗性 IP/MAC 地址和 ARP 欺骗攻击。启用 IP 源保护或 DAI 时,配置会自动为同一网桥域启用 DHCP 侦听。
要求
此示例使用以下硬件和软件组件:
一台 MX 系列路由器
Junos OS 14.1 版
用于向设备上的网络设备提供 IP 地址的 DHCP 服务器
在配置 IP 源保护以防止 IP/MAC 欺骗或配置 DAI 以缓解 ARP 欺骗攻击之前,请确保您已:
已将DHCP服务器连接到设备。
已配置要向其添加 DHCP 安全功能的桥接域。请参阅 为 MX 系列路由器云 CPE 服务配置桥接域。
概述和拓扑
以太网 LAN 设备容易受到涉及欺骗(伪造)源 MAC 地址或源 IP 地址的安全攻击。这些欺骗性数据包是从连接到设备上不受信任访问接口的主机发送的。IP 源保护根据存储在 DHCP 侦听数据库中的条目,检查从连接到设备上不受信任接入接口的主机发送的数据包中的 IP 源地址和 MAC 源地址。如果 IP 源保护确定数据包标头包含无效的源 IP 地址或源 MAC 地址,则会确保设备不会转发数据包,即丢弃数据包。
另一种类型的安全攻击是 ARP 欺骗(也称为 ARP 中毒或 ARP 缓存中毒)。ARP 欺骗是一种发起中间人攻击的方法。攻击者发送 ARP 数据包,欺骗桥接域上其他设备的 MAC 地址。它不是设备将流量发送到正确的网络设备,而是将其发送到具有模拟正确设备的欺骗地址的设备。如果模拟设备是攻击者的计算机,则攻击者将从设备接收本应流向另一台设备的所有流量。结果是来自设备的流量被误导,无法到达其正确的目标。
启用 DAI 后,设备会记录在每个接口上接收的无效 ARP 数据包的数量,以及发送方的 IP 和 MAC 地址。您可以使用这些日志消息来发现网络上的 ARP 欺骗。
此示例说明如何在连接到 DHCP 服务器的设备上配置这些重要的端口安全功能。此示例的设置包括交换设备上的桥接域 employee-bdomain
。 图 1 说明了此示例的拓扑结构。
默认情况下,连接到 DHCP 服务器接口的中继接口是受信任端口。
拓扑学

此示例的拓扑组件如 表 1 所示。
属性 | 设置 |
---|---|
设备硬件 |
一台 MX 系列路由器 |
桥接域名和ID |
|
桥接域子网 |
|
中的接口 |
|
连接到 DHCP 服务器的接口 |
|
在此示例中,设备已按如下方式配置:
所有接入端口都是不受信任的,这是默认设置。
中继端口 (ge-0/0/8) 受信任,这是默认设置。
桥接域 (
employee-bdomain
) 已配置为包含指定的接口。
配置
程序
CLI 快速配置
要快速配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听以保护设备免受 IP 欺骗和 ARP 攻击),请复制以下命令并将其粘贴到设备终端窗口中:
[edit] set bridge-domains employee-bdomain forwarding-options dhcp-security ip-source-guard set bridge-domains employee-bdomain forwarding-options dhcp-security arp-inspection
分步过程
要在桥接域上配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听),请执行以下操作:
在桥接域上配置 IP 源保护:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set ip-source-guard
在桥接域上启用 DAI:
[edit bridge-domains employee-bdomain forwarding-options dhcp-security] user@device# set arp-inspection
结果
检查配置结果:
user@device> show bridge-domains employee-bdomain forwarding-options employee-bdomain { forwarding-options { dhcp-security { arp-inspection; ip-source-guard; } } }
验证
确认配置工作正常。
验证 DHCP 侦听在设备上是否正常工作
目的
验证设备上的 DHCP 侦听是否正常工作。
行动
从连接到设备的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到设备的端口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:
user@device> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意义
当 DHCP 服务器连接到设备的接口设置为受信任时,对于分配的 IP 地址,输出(请参阅前面的示例)会显示设备的 MAC 地址、VLAN 名称以及租约到期前的剩余时间(以秒为单位)。
验证 IP 源保护是否在桥接域上工作
目的
验证 IP 源保护是否已启用并在桥接域上工作。
行动
从连接到设备的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。查看数据桥接域的 IP 源保护信息。
user@device> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意义
IP 源保护数据库表包含启用 IP 源保护的 VLAN 和桥接域。
验证 DAI 在设备上是否正常工作
目的
验证 DAI 是否在设备上工作。
行动
从连接到设备的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@device> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
示例输出显示每个接口接收和检查的 ARP 数据包数,并列出了每个接口上通过检查的数据包数和未通过检测的数据包数。设备会将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则会丢弃该数据包。